PowerScale: Las políticas encriptadas de SyncIQ fallan con "sslv3 alert unsupported certificate"

Las políticas de SyncIQ fallan con sslv3 alert unsupported certificate mensaje de error. Esto ocurre después de configurar correctamente las políticas de SyncIQ para usar certificados SSL y después de importar la cadena de firma de certificados correcta en los clústeres de origen y destino.

El cifrado de SyncIQ utiliza la autenticación de cliente y servidor. 

El certificado de fin de cadena certificate imported in server/peer store of SyncIQ solo está configurado para usar un tipo de autenticación. Por lo general, se trata únicamente de la autenticación del servidor.

Para confirmar y comprobar el clúster:

# isi_for_array -sQ ' grep "An SSL handshake failure occurred while establishing" /var/log/isi_migrate.log | grep coord ' | sort | tail -5

Error esperado:

TTTTTTTTTTTTTTT <3.3> xxxxxxxxxx-4(id8) isi_migrate[57638]: coord[xxxxxxxxxx:TTTTTTTTTTTT]: siq_create_alert_internal: type: 22 (policy name: xxxxxxxxxx target: xxxxxxxxxx) SyncIQ policy failed to establish an encrypted connection with target. An SSL handshake failure occurred while establishing an encrypted connection to the target cluster. Please view the logs on the source and target for further details. SSL error string: error:14094413:SSL routines:ssl3_read_bytes:sslv3 alert unsupported certificate [ISI_TLS_ERROR_HANDSHAKE], Target: xxxxxxxxxx

Desde el almacén de certificados del par y del servidor en el clúster:

# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/peer/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/server/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

El resultado de los comandos anteriores es ver TLS Web Server Authentication solo o TLS Web Client Authentication solamente.

El resultado correcto es encontrar ambos TLS Web Server Authentication y TLS Web Client Authentication.

Volver a generar el certificado de fin de cadena certificate imported in the server/peer store of SyncIQ para incluir ambos tipos de autenticación.

Seguir el proceso interno para generar la solicitud de firma de certificado (CSR). Asegúrese de que el conf utilizado para generar la CSR contiene lo siguiente:

extendedKeyUsage = serverAuth,clientAuth

Firmar este archivo CSR según el requisito de seguridad self-signed or CA signed.